安全简讯（2025.01.07）

1. Nuclei漏洞扫描程序曝出高危安全漏洞，可致恶意代码执行

1月5日，开源漏洞扫描工具 Nuclei（由 ProjectDiscovery 开发）存在一个编号为 CVE-2024-43405 的高严重性安全漏洞，CVSS 评分为 7.4。该漏洞由 Wiz 工程团队发现，源于换行处理差异和多重签名处理机制，允许攻击者绕过签名检查并在模板中注入恶意内容，进而执行恶意代码。此漏洞影响 Nuclei 3.0.0 及以上版本，直至 v3.3.2 版本才得到解决。Nuclei 在 GitHub 上拥有 21,000+ 星标和超过 210 万次下载，对安全社区至关重要。Nuclei 以其基于 YAML 的灵活模板著称，支持多种协议包括 HTTP、TCP、DNS、TLS 和 Code，其中 Code 协议允许在主机上执行外部代码，但也可能带来严重风险。漏洞源于使用正则表达式和 YAML 解析器进行签名验证时的不一致，以及“First-Signature Trust”和签名移除的不一致处理，这些弱点允许攻击者注入未经验证的恶意内容。当组织运行未经适当验证或隔离的不受信任或社区贡献的模板时，尤其容易受到攻击，可能导致任意命令执行、数据泄露或系统入侵。

https://securityaffairs.com/172692/security/nuclei-flaw-execute-malicious-code.html

2. 新恶意软件PLAYFULGHOST被发现，具有广泛信息收集功能

1月4日，网络安全研究人员发现了一种名为PLAYFULGHOST的新恶意软件，它具备多种信息收集功能，如键盘记录、屏幕捕获、音频捕获、远程shell以及文件传输/执行。该恶意软件与已知远程管理工具Gh0st RAT在功能上存在重叠。PLAYFULGHOST通过网络钓鱼电子邮件或搜索引擎优化投毒技术分发，诱骗受害者打开伪装成图像文件的恶意RAR存档或下载带有恶意软件的LetsVPN安装程序。该恶意软件利用DLL搜索顺序劫持和侧载等方法启动恶意DLL，并在主机上设置持久性，收集大量数据。此外，PLAYFULGHOST还能投放更多有效载荷、阻止鼠标和键盘输入、清除Windows事件日志等，并与其他工具如Mimikatz和rootkit一起使用。针对搜狗、QQ和360安全等应用程序以及使用LetsVPN诱饵，这些感染可能针对的是讲中文的Windows用户。类似的活动也曾在2024年7月由加拿大网络安全供应商eSentire披露，利用Google Chrome的虚假安装程序传播Gh0st RAT。

https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html

3. PhishWP：俄罗斯网络犯罪分子的新型WordPress钓鱼插件威胁

1月6日，俄罗斯网络犯罪分子开发了一款名为PhishWP的恶意WordPress插件，该插件通过创建高仿真的虚假支付页面来窃取用户的信用卡信息、CVV安全码和3DS一次性密码（OTP）等敏感数据。这些页面模仿合法支付服务如Stripe，诱骗用户输入个人信息。PhishWP不仅具备高度可定制的结账页面，还集成了浏览器分析功能和自动回复电子邮件，以增强其欺骗性和绕过安全验证的能力。更为先进的是，该插件能够实时通过Telegram将窃取的信息传输给攻击者，便于他们在暗网上立即进行未经授权的交易或销售。PhishWP的多语言支持和混淆功能使得攻击者能在全球范围内发起针对性的网络钓鱼活动，造成重大财务损失和个人数据泄露。为了应对这一威胁，网络安全公司SlashNext敦促用户采取积极的网络安全措施，如使用网络钓鱼保护工具，保持高度警惕，以有效抵御此类复杂攻击。

https://hackread.com/phishwp-plugin-russian-hacker-forum-phishing-sites/

4. Moxa发出高危漏洞警告，影响多款路由器和网络安全设备

1月6日，工业网络和通信供应商Moxa发出紧急警告，指出其蜂窝路由器、安全路由器和网络安全设备的多个型号存在高危漏洞。这些漏洞包括CVE-2024-9138和CVE-2024-9140，允许远程攻击者获取root权限并执行任意命令，导致任意代码执行。Moxa设备广泛应用于交通运输、公用事业、能源和电信领域的工业自动化和控制系统环境。受影响的设备包括EDR-8010系列、EDR-G9004系列、EDR-G9010系列、EDF-G1002-BP系列、NAT-102系列、OnCell G4302-LTE4系列和TN-4900系列等，具体受影响的是这些系列的某些固件版本。Moxa已发布固件更新以修复这些漏洞，并强烈建议用户立即升级以避免潜在风险。对于NAT-102系列，目前没有可用补丁，建议采取缓解措施。Moxa还建议限制设备网络暴露和SSH访问，并使用防火墙、IDS或IPS来监控和阻止攻击尝试。同时，公告指出MRC-1002系列、TN-5900系列和OnCell 3120-LTE-1系列设备不受这两个漏洞影响。

https://www.bleepingcomputer.com/news/security/vulnerable-moxa-devices-expose-industrial-networks-to-attacks/

5. 俄罗斯将大规模互联网中断归咎于电信网络事故

1月6日，俄罗斯互联网监管机构报告称，由于电信运营商主网络故障，导致该国多项在线服务遭遇大规模中断，包括热门在线平台谷歌、Yandex、Rutube、VKontakte和Discord，以及当地银行和移动运营商MTS等服务。据互联网监控服务Downdetector的数据显示，大多数投诉来自莫斯科，涉及MTS提供的服务，但MTS未就中断原因发表评论。尽管该事件已得到解决且服务正在恢复，但截至撰写时仍有部分用户无法访问服务。俄罗斯经常发生互联网中断，有时是当地政府故意为之，如去年12月测试“主权互联网”基础设施时导致多个地区居民无法访问一些外国和本地应用程序和网站。此外，俄罗斯还因谷歌拒绝遵守技术法规而故意降低YouTube加载速度，并封锁了Viber、Signal和Discord等通讯应用程序的访问。

https://therecord.media/russia-widespread-accident-outage-wifi

6. Eagerbee恶意软件新变种针对中东政府组织及ISP进行全球性攻击

1月6日，Eagerbee恶意软件框架的新变种正在针对中东的政府组织和互联网服务提供商进行部署，此前该恶意软件已被发现与中国政府支持的威胁行为者有关。卡巴斯基研究人员发现，该恶意软件与名为“CoughingDown”的威胁组织存在潜在联系。攻击者通过在system32目录中部署注入器来加载有效载荷文件，滥用Windows服务并在内存中写入后门负载。该后门可以全天候运行，收集系统信息并与命令和控制服务器建立TCP/SSL通道，接收附加插件以扩展其功能。这些插件包括文件管理器、进程管理器、远程访问管理器、服务管理器和网络管理器，使攻击者在受感染的系统上具有广泛的能力。同样的后门加载链也在日本被发现，表明此次攻击是全球性的。组织应修补Exchange服务器上的ProxyLogon漏洞，并使用卡巴斯基报告中列出的危害指标尽早发现威胁。

https://www.bleepingcomputer.com/news/security/eagerbee-backdoor-deployed-against-middle-eastern-govt-orgs-isps/